DE102015219989A1 - Verfahren und Vorrichtung zur Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems - Google Patents

Verfahren und Vorrichtung zur Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems Download PDF

Info

Publication number
DE102015219989A1
DE102015219989A1 DE102015219989.4A DE102015219989A DE102015219989A1 DE 102015219989 A1 DE102015219989 A1 DE 102015219989A1 DE 102015219989 A DE102015219989 A DE 102015219989A DE 102015219989 A1 DE102015219989 A1 DE 102015219989A1
Authority
DE
Germany
Prior art keywords
node
secret
bit sequence
procedure
bit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102015219989.4A
Other languages
English (en)
Inventor
Timo Lothspeich
Andreas Mueller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102015219989.4A priority Critical patent/DE102015219989A1/de
Priority to PCT/EP2016/074224 priority patent/WO2017064009A1/de
Publication of DE102015219989A1 publication Critical patent/DE102015219989A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Verfahren (20) zur Erneuerung bzw. Auffrischung eines zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems geteilten ersten Geheimnisses, gekennzeichnet durch folgende Merkmale: – der erste Knoten erkennt ein vorbestimmtes Trigger-Ereignis (21), – der erste Knoten gewinnt (22) gemeinsam mit dem zweiten Knoten eine geheime Bitfolge, – der erste Knoten kombiniert (23) das erste Geheimnis mit der Bitfolge zu einem zweiten Geheimnis und – der erste Knoten ersetzt (24) das erste Geheimnis durch das zweite Geheimnis.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Erneuerung bzw. Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium. Dabei kommunizieren die beiden Knoten oder Teilnehmer über ein gemeinsam genutztes Übertragungsmedium. Hierbei werden logische Bitfolgen – bzw. allgemeiner: Wertfolgen – durch entsprechende Übertragungsverfahren als Signale bzw. Signalfolgen physikalisch übertragen.
  • Das zugrundeliegende Kommunikationssystem kann z. B. ein CAN-Bus sein. Dieser sieht eine Übertragung dominanter und rezessiver Bits bzw. entsprechend dominanter und rezessiver Signale vor, wobei sich ein dominantes Signal bzw. Bit eines Teilnehmers des Netzwerks gegen rezessive Signale bzw. Bits anderer Teilnehmer durchsetzt. Ein Zustand entsprechend dem rezessiven Signal stellt sich auf dem Übertragungsmedium nur dann ein, wenn alle aktiv beteiligten Teilnehmer ein rezessives Signal zur Übertragung vorsehen bzw. wenn alle gleichzeitig sendenden Teilnehmer einen rezessiven Signalpegel übertragen.
  • Stand der Technik
  • Eine sichere Kommunikation zwischen verschiedenen Geräten wird in einer zunehmend vernetzten Welt immer wichtiger und stellt in vielen Anwendungsbereichen eine wesentliche Voraussetzung für die Akzeptanz und somit auch den wirtschaftlichen Erfolg der entsprechenden Anwendungen dar. Dies umfasst – je nach Anwendung – verschiedene Schutzziele, wie beispielsweise die Wahrung der Vertraulichkeit der zu übertragenden Daten, die gegenseitige Authentifizierung der beteiligten Knoten oder die Sicherstellung der Datenintegrität.
  • Zur Erreichung dieser Schutzziele kommen üblicherweise geeignete kryptographische Verfahren zum Einsatz, die man generell in zwei verschiedene Kategorien unterteilen kann: zum einen symmetrische Verfahren, bei denen Sender und Empfänger über denselben kryptographischen Schlüssel verfügen, zum anderen asymmetrische Verfahren, bei denen der Sender die zu übertragenden Daten mit dem öffentlichen – d. h. auch einem potenziellen Angreifer möglicherweise bekannten – Schlüssel des Empfängers verschlüsselt, die Entschlüsselung aber nur mit dem zugehörigen privaten Schlüssel erfolgen kann, der idealerweise nur dem Empfänger bekannt ist.
  • Asymmetrische Verfahren haben unter anderem den Nachteil, dass sie in der Regel eine sehr hohe Rechenkomplexität aufweisen. Damit sind sie nur bedingt für ressourcenbeschränkte Knoten wie z. B. Sensoren, Aktuatoren o. ä. geeignet, die üblicherweise nur über eine relativ geringe Rechenleistung sowie geringen Speicher verfügen und energieeffizient arbeiten sollen, beispielsweise aufgrund von Batteriebetrieb oder dem Einsatz des sogenannten „Energy Harvesting”. Darüber hinaus steht oftmals nur eine begrenzte Bandbreite zur Datenübertragung zur Verfügung, was den Austausch von asymmetrischen Schlüsseln mit Längen von 2048 Bit oder noch mehr unattraktiv macht.
  • Bei symmetrischen Verfahren hingegen muss gewährleistet sein, dass sowohl Empfänger als auch Sender über den gleichen kryptographischen Schlüssel verfügen. Das zugehörige Schlüsselmanagement stellt dabei generell eine sehr anspruchsvolle Aufgabe dar. Im Bereich des Mobilfunks werden Schlüssel beispielsweise mit Hilfe von SIM-Karten in ein Mobiltelefon eingebracht und das zugehörige Netz kann dann der eindeutigen Kennung einer SIM-Karte den entsprechenden Schlüssel zuordnen. Im Fall eines drahtlosen lokalen Netzwerks (wireless local area network, WLAN) hingegen erfolgt oftmals eine manuelle Eingabe der zu verwendenden Schlüssel – in der Regel durch die Eingabe eines Passwortes – bei der Einrichtung des Netzwerkes. Ein solches Schlüsselmanagement wird allerdings schnell sehr aufwändig und impraktikabel, wenn man eine sehr große Anzahl von Knoten hat, beispielsweise in einem Sensornetzwerk oder anderen Maschine-zu-Maschine-Kommunikationssystemen, z. B. CAN-basierten Fahrzeugnetzwerken. Darüber hinaus ist eine Änderung der zu verwendenden Schlüssel – etwa im Rahmen einer regelmäßigen Neuberechnung oder „Auffrischung” (re-keying) – oftmals überhaupt nicht bzw. nur mit sehr großem Aufwand möglich.
  • DE 10 2012 215 326 A1 beschreibt ein insbesondere für ein solches Re-Keying geeignetes Verfahren zur Erzeugung eines kryptografischen Schlüssels in einem Netzwerk mit einem ersten Netzwerkelement, einem zweiten Netzwerkelement und einem Netzwerkknoten, wobei das erste Netzwerkelement über einen ersten Übertragungskanal und das zweite Netzwerkelement über einen zweiten Übertragungskanal mit dem Netzwerkknoten kommunizieren kann. Das Verfahren umfasst aufseiten des ersten Netzwerkelements einen Schritt des Bestimmens einer ersten Kanalinformation bezüglich des ersten Übertragungskanals basierend auf einem von dem Netzwerkknoten ausgesendeten ersten Pilotsignal und einen Schritt des Ermittelns des symmetrischen kryptografischen Schlüssels unter Verwendung der ersten Kanalinformation und einer Information über eine kombinierte Kanalinformation, wobei die kombinierte Kanalinformation eine seitens des Netzwerkknotens basierend auf einem von dem ersten Netzwerkelement zu dem Netzwerknoten übertragenen zweiten Pilotsignal und einem von dem zweiten Netzwerkelement zu dem Netzwerknoten übertragenen dritten Pilotsignal bestimmte Kombination von Übertragungscharakteristiken des ersten und des zweiten Übertragungskanals repräsentiert.
  • Offenbarung der Erfindung
  • Die Erfindung stellt ein Verfahren zur Erneuerung bzw. Auffrischung eines zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems geteilten Geheimnisses bzw. Schlüssels (shared key), eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit.
  • Ein Vorzug dieser Lösung liegt in ihrer besonderen Eignung für symmetrische Kryptosysteme. Das erfindungsgemäße Verfahren zeichnet sich insbesondere durch eine extrem niedrige Komplexität und eine einfache Umsetzbarkeit in praktischen Systemen aus, insbesondere in Fahrzeug- bzw. Automatisierungsnetzwerken. Zudem kann damit flexibel eine skalierbare Sicherheit realisiert werden.
  • Dadurch ist es möglich, abhängig von den konkreten Sicherheitsanforderungen einer Anwendung oder eines Steuergeräts flexibel die Lebensdauer eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, festzulegen und diesen bei Bedarf geeignet aufzufrischen. Die regelmäßige Erneuerung bzw. Auffrischung von Schlüsseln erschwert u. a. verschiedene Angriffe – z. B. Klartextangriffe, Seitenkanalangriffe etc. – und kann zur Realisierung einer perfekten vorwärts gerichteten Geheimhaltung (perfect forward secrecy, PFS) genutzt werden.
  • Die Erfindung eignet sich für zahlreiche drahtgebundene Kommunikationssysteme, speziell in Fahrzeug- und Automatisierungsnetzwerken wie CAN, TTCAN, CAN FD und LIN, aber auch für andere Bussysteme wie z. B. I2C oder auch bestimmte drahtlose Kommunikationssysteme. Dementsprechend ergeben sich hierfür zahlreiche potenzielle Anwendungsmöglichkeiten in der Praxis.
  • Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich.
  • Kurze Beschreibung der Zeichnungen
  • Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
  • 1 eine vorteilhafte Anordnung basierend auf einem linearen Bus (z. B. CAN) mit einem bereits etabliertem gemeinsamen Geheimnis, insbesondere einem symmetrischen kryptographischen Schlüssel K, zwischen einem ersten und einem zweiten Knoten.
  • 2 das Flussdiagramm eines Verfahrens gemäß einer Ausführungsform der Erfindung.
  • 3 die betrachtete Anordnung nach der erfolgreichen Auffrischung der gemeinsamen Geheimnisse, insbesondere symmetrischen kryptographischen Schlüssel, zwischen dem ersten und zweiten Knoten.
  • Ausführungsformen der Erfindung
  • Es wird eine Anordnung gemäß 1 betrachtet, bei der ein erster Knoten 11, ein zweiter Knoten 12 sowie ein dritter Knoten 13 und ein vierter Knoten 14, die für das eigentliche Verfahren nicht benötigt werden, über ein gemeinsam genutztes Übertragungsmedium 10 – hier ein linearer Bus – miteinander kommunizieren können. Bei den Knoten könnte es sich bspw. um Steuergeräte in einem Fahrzeug handeln, die über einen CAN-, TT-CAN-, CAN-FD- oder LIN-Bus miteinander kommunizieren. Zur Absicherung der Kommunikation zwischen dem ersten Knoten 11 und dem zweiten Knoten 12 verfügen diese bereits über ein erstes gemeinsames Geheimnis K, insbesondere einen symmetrischen kryptographischen Schlüssel. Dabei ist es unerheblich, wie dieses erste gemeinsame Geheimnis K etabliert worden ist. Dies könnte bspw. mit Hilfe des weiter unten beschriebenen Verfahrens erfolgen, aber auch mit alternativen Schlüsseletablierungsmechanismen – z. B. einem Diffie-Hellman-Schlüsselaustausch – oder mittels einer manuellen Einbringung des entsprechenden Geheimnisses K in den ersten Knoten 11 oder den zweiten Knoten 12.
  • Das erste Geheimnis K soll nun geeignet aufgefrischt werden, um seine Lebensdauer zu begrenzen und damit den Grad der erreichbaren Sicherheit zu erhöhen. Dies soll derart erfolgen, dass die anderen Teilnehmer – hier: der dritte Knoten 13 und der vierte Knoten 14 –, die ebenfalls Zugriff auf das gemeinsam genutzte Übertragungsmedium 10 haben, das neue Geheimnis – im Folgenden: zweite Geheimnis KR – nicht ohne Weiteres kennen (können). Der prinzipielle erfindungsgemäße Ablauf hierfür gestaltet sich wie in 2 dargestellt:
    Die Auffrischungsphase wird durch ein bestimmtes Trigger-Ereignis 21 ausgelöst. Hierbei sind verschiedene Trigger-Ereignisse 21 denkbar, wie z. B. eventbasierte Trigger, z. B. beim Start oder Stopp eines Fahrzeugs, zeitbasierte Trigger, z. B. wiederkehrend nach X Tagen, Stunden oder Monaten, und kommunikationsbasierte Trigger, z. B. nachdem F Rahmen (frames) oder ein bestimmtes Datenvolumen mit dem ersten Geheimnis K gesichert wurden. In Betracht kommt auch die Erkennung eines Zustandes aktuell geringer Auslastung des Kommunikationskanals. So könnte beispielsweise durch ein bestimmtes Nachrichtenmuster detektiert werden, dass sich das Gesamtsystem – z. B. Fahrzeug – in einem Zustand befindet, in dem nur eine geringe Auslastung des Kommunikationsmediums erwartet wird.
  • Nach dem Auftreten des Trigger-Ereignisses 21 startet einer der beiden Knoten 11, 12 – ohne Beschränkung der Allgemeinheit z. B. der erste Knoten 11 – zum nächstmöglichen Zeitpunkt – z. B., wenn sonst keine Kommunikation auf dem Übertragungsmedium 10 stattfindet – die folgende Prozedur zur Etablierung eines gemeinsamen Geheimnisses zwischen dem ersten Knoten 11 und dem zweiten Knoten 12. Dies kann beispielsweise durch das Versenden einer speziellen Nachricht bzw. eines speziellen Nachrichtenheaders erfolgen.
  • Sowohl der erste Knoten 11 als auch der zweite Knoten 12 generieren in einem ersten Teilschritt zunächst lokal – d. h. intern und voneinander unabhängig – eine Bitsequenz oder Bitfolge (bit string). Die Bitfolge wird vorzugsweise jeweils als zufällige oder pseudozufällige Bitabfolge, beispielsweise mit Hilfe eines geeigneten Zufallszahlengenerators oder (kryptografisch sicheren) Pseudozufallszahlengenerators erzeugt. Beispielsweise könnte der erste Knoten 11 die Bitfolge S1 = (0,1,0,0,1,1,0,1,1,1,0,0,1,0,1,1,0,0,1,0) und der zweite Knoten 12 die Bitfolge S2 = (1,0,0,1,0,0,0,1,1,0,1,1,0,1,0,0,1,0,1,1) erzeugen.
  • In einem zweiten Teilschritt übertragen der erste Knoten 11 und der zweite Knoten 12 zueinander weitgehend synchron ihre jeweils erzeugten Bitsequenzen über das gemeinsam genutzte Übertragungsmedium 10 unter Verwendung des Übertragungsverfahrens mit dominanten und rezessiven Bits bzw. Übertragungszuständen. Dabei sind verschiedene Möglichkeiten zur Synchronisierung der entsprechenden Übertragungen denkbar. So könnte beispielsweise entweder der erste Knoten 11 oder der zweite Knoten 12 zunächst eine geeignete Synchronisationsnachricht an den jeweils anderen Knoten senden und nach einer bestimmten Zeitdauer im Anschluss an die vollständige Übertragung dieser Nachricht dann die Übertragung der eigentlichen Bitsequenzen starten. Genauso ist es aber auch denkbar, dass von einem der beiden Knoten nur ein geeigneter Nachrichtenkopf (header) übertragen wird – z. B. ein CAN-Header bestehend aus Arbitrierungsfeld und Kontrollfeld – und während der zugehörigen Nutzdatenphase dann beide Knoten 11, 12 gleichzeitig ihre generierten Bitsequenzen weitgehend synchron übermitteln. In einer Variante der Prozedur können die im ersten Teilschritt generierten Bitsequenzen des ersten Knotens 11 oder des zweiten Knotens 12 auch auf mehrere Nachrichten verteilt übertragen werden, beispielsweise wenn dies die Maximal-Größen der entsprechenden Nachrichten erforderlich machen. Auch in dieser Variante erfolgt die Übertragung der auf entsprechend viele, entsprechend große Nachrichten verteilten Bitsequenzen des jeweils anderen Knotens 12, 11 wiederum weitgehend synchron.
  • Auf dem geteilten Übertragungsmedium 10 überlagern sich die beiden Bitsequenzen bzw. die zugehörigen Übertragungszustände/Signalpegel dann, wobei aufgrund der zuvor geforderten Eigenschaft des Systems mit der Unterscheidung von dominanten und rezessiven Bits/Übertragungszuständen die einzelnen Bits des ersten Knotens 11 und des zweiten Knotens 12 eine Überlagerung ergeben. Präziser ausgedrückt übertragen A und B entsprechend ihrer Bitsequenzen modulierte Signale, die sich zu einem Gesamtsignal auf dem Übertragungsmedium überlagern. Das Gesamtsignal kann dann mittels einer geeigneten Demodulation wieder in eine (logische) Bitsequenz überführt werden, die (im fehlerfreien Fall) für CAN gerade der logischen UND-Verknüpfung der Einzelbitsequenzen von A und B entspricht. Damit ergibt sich auf dem Übertragungskanal eine entsprechende Überlagerung, die beispielsweise auch der mithörende dritte Knoten 13 detektieren könnte. Die UND-Verknüpfung gilt bspw. für CAN, weil der dominante Pegel einer logischen „0” und der rezessive Pegel einer logischen „1” zugeordnet sind. Für andere Kommunikationssysteme kann diese Zuordnung anders sein oder bei höherwertigen Übertragungsverfahren eine andersartige Überlagerung ergeben.
  • Als Beispiel einer Überlagerungsbitfolge für die obigen lokalen Bitfolgen könnte sich auf dem Übertragungskanal die folgende effektive Bitsequenz ergeben: Seff = S1 Λ S2 = (0,0,0,0,0,0,0,1,1,0,0,0,0,0,0,0,0,0,1,0)
  • Sowohl der erste Knoten 11 als auch der zweite Knoten 12 detektieren während der Übertragung ihrer Bitsequenzen des zweiten Teilschritts in einem parallelen dritten Teilschritt die effektiven überlagerten Bitsequenzen auf dem geteilten Übertragungsmedium 10. Für das Beispiel des CAN-Busses wird dies auch in konventionellen Systemen während der Arbitrierungsphase gewöhnlich ohnehin gemacht, bis ein Knoten die Arbitrierung verliert (höhere CAN-ID) und das Senden einstellt. Das hier vorgestellte Verfahren unterscheidet sich von der Arbitrierung unter anderem dahingehend, dass ein Knoten, der eine logische „1” sendet und eine logische ”0” vom Kanal zurück liest, das Senden nicht einstellt. Ein weiterer Unterschied ist, dass hier keine CAN-IDs, sondern zufällig generierte Bitsequenzen übertragen werden und dass diese sowohl nicht-invertiert als auch invertiert übertragen werden.
  • In einem vierten Teilschritt übertragen sowohl der erste Knoten 11 als auch der zweite Knoten 12 ebenfalls wieder weitgehend synchron ihre initialen Bitsequenzen, diesmal allerdings invertiert. Die Synchronisierung der entsprechenden Übertragungen kann dabei wieder genau auf dieselbe Art und Weise realisiert werden wie oben beschrieben. Auf dem geteilten Kommunikationsmedium werden die beiden Sequenzen dann wieder miteinander UND-verknüpft. Der erste Knoten 11 und der zweite Knoten 12 ermitteln wiederum die effektiven, überlagerten Bitsequenzen Seff auf dem geteilten Übertragungsmedium 10. Für den ersten Knoten 11 würde sich somit die invertierte Bitsequenz
    Figure DE102015219989A1_0002
    und für den zweiten Knoten 12 die invertierte Bitsequenz
    Figure DE102015219989A1_0003
    ergeben. Somit würden die Knoten 11, 12 die folgende effektive, überlagerte Bitsequenz auf dem Kanal ermitteln:
    Figure DE102015219989A1_0004
  • Sowohl der erste Knoten 11 als auch der zweite Knoten 12 ermitteln während der Übertragung ihrer nun invertierten Bitsequenzen dann wieder die effektiven, überlagerten Bitsequenzen auf dem geteilten Übertragungsmedium 10. Zu diesem Zeitpunkt kennen somit der erste Knoten 11, der zweite Knoten 12 sowie auch ein möglicher Angreifer – z. B. der dritte Knoten 13 –, der die Kommunikation auf dem geteilten Übertragungsmedium 10 mithört, die effektiven, überlagerten Bitsequenzen Seff und S ' / eff. Im Gegensatz zum Angreifer bzw. dritten Knoten 13 kennt aber der erste Knoten 11 noch seine initial erzeugte, lokale Bitsequenz und der zweite Knoten 12 dessen initial erzeugte, lokale Bitsequenz. Der erste Knoten 11 wiederum kennt aber nicht die initial erzeugte, lokale Bitsequenz des zweiten Knotens 12 und der zweite Knoten 12 nicht die initial erzeugte, lokale Bitsequenz des ersten Knotens 11. Die Detektion der Überlagerungsbitfolge erfolgt wiederum während der Übertragung in einem fünften Teilschritt.
  • Alternativ zu dieser beispielhaften Ausführungsvariante können der erste Knoten 11 und der zweite Knoten 12 ihre invertierte, lokale Bitfolge auch direkt mit bzw. direkt nach ihrer ursprünglichen, lokalen Bitfolge versenden, d. h. der vierte Teilschritt und der fünfte Teilschritt erfolgen mit zweiten und dritten Teilschritten. Die ursprüngliche und die invertierte Bitfolge können dabei in einer Nachricht, aber auch in separaten Nachrichten als Teil-Bitfolgen übermittelt werden. In einer bevorzugten Ausführungsform können der erste Knoten A und der zweite Knoten B sogar innerhalb einer Nachricht abwechselnd ein zufällig erzeugtes Bit und danach das entsprechend invertierte Bit senden. Anstelle der ursprünglichen, lokalen Bitfolge (0,0,1) würde so beispielsweise die Bitfolge (0,1,0,1,1,0) gesendet. Der Begriff „Überlagerungsphase” ist insofern in einem weiten Wortsinn zu verstehen, welcher durchaus den Fall einschließt, dass in jeder Phase lediglich Bitfolgen der Länge 1 überlagert, die beiden Überlagerungsphasen insgesamt jedoch in entsprechender Anzahl wiederholt werden. Ferner sind neben der bitweise abwechselnden Übertragung von originalen und invertierten Bits noch zahlreiche andere Varianten denkbar, ohne den Rahmen der Erfindung zu verlassen.
  • In einem sechsten Teilschritt verknüpfen der erste Knoten 11 und der zweite Knoten 12 nun jeweils lokal – also intern – die effektiven, überlagerten Bitfolgen Seff und S ' / eff, insbesondere mit einer logischen ODER-Funktion. Die ODER-Verknüpfung gilt bspw. für CAN, weil der dominante Pegel einer logischen „0” und der rezessive Pegel einer logischen „1” zugeordnet sind. Für andere Kommunikationssysteme kann diese Zuordnung anders sein oder bei höherwertigen Übertragungsverfahren eine andersartige Überlagerung ergeben.
  • Im obigen Beispiel ergäbe sich auf diesem Wege die folgende Verknüpfung: Sges = Seff ∨ S ' / eff = (0,0,1,0,0,0,1,1,1,0,0,0,0,0,0,0,0,1,1,0)
  • Die einzelnen Bits in der aus der ODER-Verknüpfung resultierenden Bitsequenz Sges geben nun an, ob die entsprechenden Bits von S1 und S2 identisch oder unterschiedlich sind. Das Bit ,1' in Sges zeigt dabei an, dass das Bit an der entsprechenden Position in SA und SB identisch ist wohingegen das Bit ,0' anzeigt, dass das Bit an der entsprechenden Position in SA und SB unterschiedlich ist. Der erste Knoten 11 und der zweite Knoten 12 streichen daraufhin in einem siebten Teilschritt basierend auf der aus der ODER-Verknüpfung erhaltenen Bitsequenz in ihren ursprünglichen, initialen Bitsequenzen alle Bits, die in beiden Sequenzen identisch sind. Dies führt folglich zu entsprechend verkürzten Bitsequenzen
    Figure DE102015219989A1_0005
  • Die resultierenden, verkürzten Bitsequenzen
    Figure DE102015219989A1_0006
    und
    Figure DE102015219989A1_0007
    sind nun gerade invers zueinander. Somit können der erste Knoten 11 und der zweite Knoten 12 durch Inversion ihrer verkürzten Bitsequenz exakt diejenige verkürzte Bitsequenz ermitteln, welche im jeweils anderen Knoten 12, 11 bereits vorliegt.
  • In einer oder mehreren Runden wird so eine vorgegebene Anzahl J von gemeinsamen geheimen Bits mittels einer öffentlichen Diskussion beim ersten Knoten 11 und zweiten Knoten 12 etabliert, die im Weiteren als Bitfolge S bezeichnet wird. Hierbei ist zu beachten, dass die Anzahl der generierbaren geheimen Bits bei der oben erläuterten Basisprozedur 22 in jeder Runde variieren kann. Dementsprechend müssen genügend viele Runden durchlaufen werden, um mindestens J gemeinsame geheime Bits zu erhalten. Sollte die Anzahl der tatsächlich generierten geheimen Bits dann größer als J sein, sind wiederum verschiedene Optionen denkbar: Der gewonnene Bitstring wird auf genau J Bits gekürzt, z. B. durch das Streichen einzelner Bits oder allgemeiner mit Hilfe einer geeigneten Funktion, die den gewonnenen Bitstring auf einen verkürzten Bitstring der Länge J abbildet, oder es wird einfach mit dem tatsächlich gewonnenen Bitstring einer J überschreitenden Länge weitergearbeitet, auch wenn diese Länge jedes Mal unterschiedlich sein kann. Unabhängig von der gewählten Option wird der resultierende Bitstring im Weiteren immer als T bezeichnet.
  • Der erste Knoten 11 und der zweite Knoten 12 kombinieren (23) das erste Geheimnis nun mit dem neu generierten Bitstring T auf geeignete Art und Weise und erhalten dann ein aufgefrischtes zweites Geheimnis KR, für das folgende Beziehung gilt: KR = f(K, T)
  • Im einfachsten Fall wäre z. B. die schaltalgebraisch durch ein sogenanntes XOR-Gatter umsetzbare Kontravalenz f(K, T) = K ⊕ T eine Option, falls K und T die gleiche Länge besitzen. Eine Kontravalenz ist genau dann wahr, wenn beide durch sie verbundenen Aussagen unterschiedliche Wahrheitswerte haben, das heißt, wenn entweder die eine oder die andere wahr ist, wenn aber nicht beide gleichzeitig wahr oder beide gleichzeitig falsch sind. Eine weitere vorteilhafte Realisierung wäre z. B. die Folgende: f(K, T) = h(K|T)
  • Dabei beschreibt h eine kryptologische Hash-Funktion – z. B. die vom National Institute of Standards and Technology in den USA standardisierte Funktion SHA-3 – und K|T die Konkatenation des ersten Geheimnisses K mit T.
  • Optional stellen der erste Knoten 11 und der zweite Knoten 12 schließlich noch sicher, dass das zweite Geheimnis KR auf beiden Seiten tatsächlich gleich ist. Aufgrund von praktischen Effekten – z. B. Messfehler, Rauschen etc. – bzw. aktiven Angriffen anderer Teilnehmer kann es prinzipiell nämlich vorkommen, dass der neu generierte Bitstring T und somit dann auch das zweite Geheimnis KR nicht identisch sind für den ersten Knoten 11 und zweiten Knoten 12 und somit nicht sinnvoll verwendet werden können. Hierzu berechnen der erste Knoten 11, der zweite Knoten 12 oder sowohl der erste Knoten 11 als auch der zweite Knoten 12 einen geeigneten Kennwert des zweiten Geheimnisses KR, der dann ausgetauscht wird. In einer vorteilhaften Realisierung könnte so ein Kennwert bspw. ein gekürzter Hash-Wert des zweiten Geheimnisses KR sein. Stimmt dieser Kennwert nicht überein, so bestehen wiederum verschiedene Möglichkeiten, z. B. die Prozedur zur Geheimnisauffrischung zu wiederholen. Sollte nach L Wiederholungen immer noch keine erfolgreiche Auffrischung möglich sein, kann dann eine entsprechende Warnung ausgegeben werden, im Falle eines Fahrzeugnetzwerkes beispielsweise eine entsprechende Indikation an den Fahrer des Fahrzeuges bzw. die Werkstatt oder den Hersteller. Gemäß einer alternativen Möglichkeit wird das erste Geheimnis K als Rückfalllösung weiterverwendet.
  • Bei erfolgreichem Abschluss der Geheimnisauffrischung wird fortan das zweite Geheimnis KR zur Absicherung der Kommunikation zwischen dem ersten Knoten 11 und zweiten Knoten 12 verwendet. Somit ergibt sich die Anordnung gemäß 3.
  • Alternativ zu dem zuvor beschriebenen Verfahren 20 sind folgende Realisierungen für ein Re-Keying der Geheimnisse K des ersten Knotens 11 und des zweiten Knotens 12 vorstellbar:
    Der erste Knoten 11 und der zweite Knoten 12 etablieren bei Auslösung eines Trigger-Ereignisses 21 ein vollständig neues zweites Geheimnis KR mit Hilfe des oben beschriebenen Grundverfahrens, d. h. insbesondere die Verknüpfung der neu generierten Bits mit dem ersten Geheimnis K (Schritt 23) fällt weg.
  • Der erste Knoten 11 oder der zweite Knoten 12 generieren zunächst lokal ein zufälliges zweites Geheimnis KR. Dieses zweite Geheimnis KR wird dann mit Hilfe des – gemäß der oben beschriebenen Basisprozedur 22 etablierten – ersten Geheimnisses K verschlüsselt übertragen. Fortan wird dann entweder direkt das so übertragene zweite Geheimnis KR verwendet oder dieses zweite Geheimnis KR wird mit dem ersten Geheimnis K analog zu Schritt 23 des zuvor geschilderten Verfahrens 20 verknüpft und dann im Weiteren als Basis für kryptographische Verfahren verwendet.
  • Dieses Verfahren 20 kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem Steuergerät implementiert sein.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102012215326 A1 [0007]

Claims (10)

  1. Verfahren (20) zur Erneuerung bzw. Auffrischung eines zwischen einem ersten Knoten (11) und einem zweiten Knoten (12) eines Kommunikationssystems (1014) geteilten ersten Geheimnisses (K), gekennzeichnet durch folgende Merkmale: – der erste Knoten (11) erkennt ein vorbestimmtes Trigger-Ereignis (21), – der erste Knoten (11) gewinnt (22) gemeinsam mit dem zweiten Knoten (12) eine geheime Bitfolge, – der erste Knoten (11) kombiniert (23) das erste Geheimnis (K) mit der Bitfolge zu einem zweiten Geheimnis (KR) und – der erste Knoten (11) ersetzt (24) das erste Geheimnis (K) durch das zweite Geheimnis (KR).
  2. Verfahren (20) nach Anspruch 1, gekennzeichnet durch folgende Merkmale: – das Gewinnen (22) der Bitfolge umfasst ein wiederholtes Ergänzen der Bitfolge und – das Ergänzen der Bitfolge wird wiederholt, solange die Bitfolge eine vorgegebene Länge unterschreitet.
  3. Verfahren (20) nach Anspruch 2, gekennzeichnet durch folgendes Merkmal: – falls die gewonnene Bitfolge die Länge überschreitet, wird die Bitfolge, insbesondere durch ein Streichen einzelner Bits der Bitfolge, auf die Länge gekürzt.
  4. Verfahren (20) nach Anspruch 2 oder 3, gekennzeichnet durch folgende Merkmale: – das erste Geheimnis (K) weist die Länge der Bitfolge auf und – das Kombinieren (23) umfasst eine stellenweise XOR-Verknüpfung des ersten Geheimnisses (K) mit der Bitfolge.
  5. Verfahren (20) nach einem der Ansprüche 1 bis 4, gekennzeichnet durch folgendes Merkmal: – das Kombinieren (23) erfolgt, indem eine kryptologische Hashfunktion, beispielsweise SHA-3, auf eine Verkettung des ersten Geheimnisses (K) und der Bitfolge angewendet wird.
  6. Verfahren (20) nach einem der Ansprüche 1 bis 5, gekennzeichnet durch folgende Merkmale: – der erste Knoten (11) berechnet einen Kennwert, insbesondere einen nötigenfalls gekürzten Hashwert, des zweiten Geheimnisses (KR) und – vor dem Ersetzen (24) des ersten Geheimnisses (K) gleicht der erste Knoten (11) den Kennwert mit dem zweiten Knoten (12) ab.
  7. Verfahren (20) nach Anspruch 6, dadurch gekennzeichnet, dass, sofern der Kennwert nicht übereinstimmt, – das Gewinnen (22) der Bitfolge und das Kombinieren (23) zu dem zweiten Geheimnis (KR) wiederholt werden und – nach einer vorgegebenen Anzahl von Wiederholungen eine entsprechende Warnung ausgegeben wird.
  8. Computerprogramm, welches eingerichtet ist, das Verfahren (20) nach einem der Ansprüche 1 bis 7 auszuführen.
  9. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.
  10. Vorrichtung (11, 12, 13, 14), die eingerichtet ist, das Verfahren (20) nach einem der Ansprüche 1 bis 7 auszuführen.
DE102015219989.4A 2015-10-15 2015-10-15 Verfahren und Vorrichtung zur Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems Pending DE102015219989A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102015219989.4A DE102015219989A1 (de) 2015-10-15 2015-10-15 Verfahren und Vorrichtung zur Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems
PCT/EP2016/074224 WO2017064009A1 (de) 2015-10-15 2016-10-10 Verfahren und vorrichtung zur auffrischung eines gemeinsamen geheimnisses, insbesondere eines symmetrischen kryptographischen schlüssels, zwischen einem ersten knoten und einem zweiten knoten eines kommunikationssystems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015219989.4A DE102015219989A1 (de) 2015-10-15 2015-10-15 Verfahren und Vorrichtung zur Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems

Publications (1)

Publication Number Publication Date
DE102015219989A1 true DE102015219989A1 (de) 2017-04-20

Family

ID=57121270

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015219989.4A Pending DE102015219989A1 (de) 2015-10-15 2015-10-15 Verfahren und Vorrichtung zur Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems

Country Status (2)

Country Link
DE (1) DE102015219989A1 (de)
WO (1) WO2017064009A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020025464A1 (de) * 2018-08-03 2020-02-06 Continental Teves Ag & Co. Ohg Verfahren zum fahrzeuginternen verwalten von kryptographischen schlüsseln

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012215326A1 (de) 2012-08-29 2014-03-06 Robert Bosch Gmbh Verfahren und Vorrichtung zur Ermittlung eines kryptografischen Schlüssels in einem Netzwerk

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
DE102014019496A1 (de) * 2014-12-23 2015-06-18 Daimler Ag Verfahren zur Steuerung eines Authentifizierungsschlüsselaustausches in Fahrzeugnetzwerken und ein Kraftfahrzeug

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012215326A1 (de) 2012-08-29 2014-03-06 Robert Bosch Gmbh Verfahren und Vorrichtung zur Ermittlung eines kryptografischen Schlüssels in einem Netzwerk

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020025464A1 (de) * 2018-08-03 2020-02-06 Continental Teves Ag & Co. Ohg Verfahren zum fahrzeuginternen verwalten von kryptographischen schlüsseln
CN112514322A (zh) * 2018-08-03 2021-03-16 大陆-特韦斯贸易合伙股份公司及两合公司 在车辆内部管理密钥的方法
US11811922B2 (en) 2018-08-03 2023-11-07 Continental Teves Ag & Co. Ohg Key generation device, a vehicle-internal communication system, and a method for the vehicle-internal management of cryptographic keys
CN112514322B (zh) * 2018-08-03 2024-05-28 大陆汽车科技有限公司 在车辆内部管理密钥的方法

Also Published As

Publication number Publication date
WO2017064009A1 (de) 2017-04-20

Similar Documents

Publication Publication Date Title
EP3138258B1 (de) Verfahren zur erzeugung eines geheimnisses oder eines schlüssels in einem netzwerk
DE102015220038A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
EP3363145B1 (de) Verfahren und vorrichtung zur erzeugung eines gemeinsamen geheimnisses
DE102015219989A1 (de) Verfahren und Vorrichtung zur Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems
WO2016188667A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
DE102015219993B4 (de) Verfahren und Vorrichtung zum Erzeugen eines gemeinsamen Geheimnisses vorgegebener Länge
EP3363146B1 (de) Verfahren zur erzeugung eines schlüssels in einer schaltungsanordnung
DE102015219997B4 (de) Verfahren und Vorrichtung zur Erzeugung eines gemeinsamen Geheimnisses
EP3363144B1 (de) Verfahren und vorrichtung zum etablieren eines gemeinsamen geheimnisses
WO2017064124A1 (de) Schaltungsanordnung zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
DE102015220055A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
WO2017064067A1 (de) Verfahren zur generierung eines schlüssels in einem netzwerk und zur aktivierung einer absicherung einer kommunikation in dem netzwerk auf basis des schlüssels
WO2017064006A1 (de) Verfahren und vorrichtung zum erzeugen eines gemeinsamen schlüssels in einem feldbussystem
WO2017064125A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
WO2017064025A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
DE102015220026A1 (de) Verfahren zur Erzeugung eines Geheimnisses für eine Einmalverschlüsselung in einem Netzwerk
WO2017064122A1 (de) Verfahren zur generierung eines geheimnisses in einem netzwerk mit wenigstens zwei durch eine vermittlungsstelle getrennten teilnehmern
DE102016208452A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
WO2017063995A1 (de) Verfahren zur generierung eines geheimnisses oder schlüssels in einem netzwerk
DE102015220045A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
WO2017063998A1 (de) Verfahren und vorrichtung zum verifizieren eines gruppenschlüssels

Legal Events

Date Code Title Description
R012 Request for examination validly filed